本日 は NVD から 219件(うち スコア 付与 済み 200件)、OSV から 1件、MyJVN から 3件 の 計 223件 を 確認 しました。Critical は 24件、High は 90件。テンプレート エンジン Handlebars.js に RCE を 含む 6件 の 脆弱性 が 集中 して おり、v4.7.9 で 一括 修正 されて います。暗号 ライブラリ node-forge にも 署名 偽造 や DoS 含む 4件。AI コーディング ツール に 複数 の コマンド インジェクション が 報告 されて いる 点 も 注目 です。
本日 の 概要
| 指標 | 数値 |
|---|---|
| 分析 CVE | 223件 |
| Critical (9.0+) | 24件 |
| High (7.0-8.9) | 90件 |
| Medium (4.0-6.9) | 50件 |
| Low (~3.9) | 10件 |
| 未評価 / None | 45件 |
| OSV 監視 対象 | 1件 |
| GHSA 更新 | 0件 |
| JVN 更新 | 3件 |
Critical / High 脆弱性 の 詳細
Handlebars.js テンプレート エンジン — 6件 の 脆弱性
npm エコシステム で 広く 利用 されて いる テンプレート エンジン Handlebars.js に 6件 の 脆弱性 が 報告 され、すべて v4.7.9 で 修正 されて います。Critical 1件、High 4件、Medium 1件 と 深刻度 が 高く、特に サーバーサイド で compile() を 使用 して いる 環境 は 早急 な アップデート を 推奨 します。
| CVE ID | 概要 | CVSS |
|---|---|---|
| CVE-2026-33937 | NumberLiteral AST ノード の 値 が 未 サニタイズ で JS に 埋め込まれ RCE | 9.8 |
| CVE-2026-33941 | CLI プリコンパイラ が ファイル名 / オプション を 未 エスケープ で 出力 に 連結 | 8.2 |
| CVE-2026-33938 | @partial-block を ヘルパー 経由 で 書き換え → 任意 AST コンパイル / 実行 | 8.1 |
| CVE-2026-33940 | 動的 partial 解決 時 に 細工 した オブジェクト で compile() を 発火 | 8.1 |
| CVE-2026-33939 | 未 登録 デコレータ 参照 で TypeError → Node.js プロセス クラッシュ(DoS) | 7.5 |
| CVE-2026-33916 | プロトタイプ 汚染 経由 の partial 名 解決 で XSS | 4.7 |
Handlebars.compile() を サーバーサイド で 使用 して いる 場合 は 特に 影響 が 大きい です。ランタイム 専用 ビルド(handlebars/runtime)を 使う こと で 攻撃 面 を 大幅 に 縮小 できます。
- 参考: v4.7.9 リリース
node-forge 暗号 ライブラリ — 4件 の 脆弱性
npm の 暗号 ライブラリ node-forge(forge)に DoS、署名 偽造、証明書 チェーン 検証 不備 の 4件 が 報告 され、すべて v1.4.0 で 修正 されて います。
| CVE ID | 概要 | CVSS |
|---|---|---|
| CVE-2026-33891 | BigInteger.modInverse() に ゼロ 入力 で 無限 ループ(DoS) | 7.5 |
| CVE-2026-33894 | RSASSA PKCS#1 v1.5 署名 の Bleichenbacher 攻撃 に よる 偽造 | 7.5 |
| CVE-2026-33895 | Ed25519 非 正規 署名 を 正当 として 受理 | 7.5 |
| CVE-2026-33896 | basicConstraints 未 検証 で 偽 CA 証明書 を 信頼 | 7.4 |
暗号 署名 の 検証 に node-forge を 使用 して いる 場合、署名 偽造 や 証明書 チェーン の バイパス が 可能 に なる ため、速やか な アップデート を 推奨 します。
AI / LLM 開発 ツール の 脆弱性 — コマンド インジェクション 多数
AI コーディング ツール や MCP サーバー に 関する 脆弱性 が 複数 報告 されて います。LLM の 自動 コマンド 実行 機能 を 悪用 する パターン が 目立ちます。
| CVE ID | ツール | 概要 | CVSS |
|---|---|---|---|
| CVE-2026-30302 | CodeRider-Kilo | Windows CMD エスケープ 差異 を 悪用 した OS コマンド インジェクション | 10.0 |
| CVE-2026-30303 | Axon Code | 同上 の パターン(shell-quote vs CMD の 解析 差異) | 9.8 |
| CVE-2026-30304 | AI Code | プロンプト インジェクション で 「安全」 判定 バイパス → 任意 コマンド 実行 | 9.6 |
| CVE-2026-33980 | Azure Data Explorer MCP | KQL インジェクション | 8.3 |
| CVE-2026-25724 | Claude Code | シンボリック リンク 経由 で deny ルール バイパス(v2.1.7 で 修正) | 7.5 |
CodeRider-Kilo と Axon Code は いずれ も Windows 環境 で shell-quote(Unix 向け)を 使って コマンド を パース する 一方、実際 には cmd.exe が 実行 する ため、^ エスケープ で ホワイトリスト を バイパス できる 問題 です。LLM ツール を 使用 して いる 場合 は、コマンド の 自動 実行 設定 を 見直す こと を 推奨 します。
CVE-2026-26137 — Microsoft Exchange SSRF
- CVSS スコア: 9.9(Critical)
- CWE: CWE-918(SSRF)
- 影響: Microsoft Exchange
Microsoft Exchange に サーバーサイド リクエスト フォージェリ(SSRF)の 脆弱性 が 報告 されて います。認証 済み ユーザー が ネットワーク 経由 で 権限 昇格 を 達成 できます。Exchange を 運用 して いる 場合 は Microsoft の セキュリティ 更新 プログラム を 適用 してください。
- 参考: MSRC
CVE-2025-53521 — F5 BIG-IP APM RCE(CISA KEV)
- CVSS スコア: 9.8(Critical)
- CWE: CWE-770
- 影響: BIG-IP APM アクセス ポリシー 設定 済み 環境
F5 BIG-IP APM の アクセス ポリシー が 設定 された 仮想 サーバー で リモート コード 実行 が 可能 な 脆弱性 です。CISA KEV(既知 の 悪用 済み 脆弱性 カタログ) に 登録 されて おり、実際 の 攻撃 が 確認 されて います。BIG-IP APM を 利用 して いる 場合 は 最優先 で 対応 してください。
- 参考: K000156741 / CISA KEV
CVE-2026-34205 — Home Assistant 未 認証 エンドポイント 露出
- CVSS スコア: 9.6(Critical)
- CWE: CWE-923
- 影響: Home Assistant Supervisor 2026.03.02 より 前
- 修正: Supervisor 2026.03.02
ホスト ネットワーク モード で 構成 された Home Assistant アプリ が、内部 Docker ブリッジ インターフェース に バインド された 未 認証 エンドポイント を ローカル ネットワーク に 露出 する 問題 です。同一 ネットワーク 上 の 任意 の デバイス から 認証 なし で アクセス 可能 に なります。
CVE-2026-33976 — Notesnook Electron XSS → RCE
- CVSS スコア: 9.6(Critical)
- CWE: CWE-79、CWE-94
- 影響: Web/Desktop 3.3.11 未満、Android/iOS 3.3.17 未満
- 修正: 3.3.11(Web/Desktop)、3.3.17(Android/iOS)
ノート アプリ Notesnook の Web Clipper で 保存 時 に 攻撃者 制御 の 属性 が 残り、contentDocument.write() で 同一 オリジン の iframe に 書き込まれます。Electron デスクトップ アプリ では nodeIntegration: true のため RCE に エスカレート します。
CVE-2026-33210 — Ruby JSON gem フォーマット 文字列 インジェクション
- CVSS スコア: 9.1(Critical)
- CWE: CWE-134
- 影響: Ruby JSON gem v2.14.0 〜 v2.19.1
- 修正: 2.15.2.1、2.17.1.2、2.19.2
allow_duplicate_key: false オプション を 使用 して ユーザー 入力 の JSON を パース する 際、フォーマット 文字列 インジェクション に より DoS や 情報 漏洩 が 可能 です。Ruby で JSON パース に この オプション を 使用 して いる 場合 は アップデート を 推奨 します。
その他 の 注目 すべき 脆弱性
| CVE ID | 対象 | 概要 | CVSS |
|---|---|---|---|
| CVE-2026-33943 | Happy DOM | ES モジュール コンパイラ の コード インジェクション → RCE(v20.8.8 で 修正) | 8.8 |
| CVE-2026-33870 | Netty | HTTP/1.1 チャンク エンコーディング パーサー 不備 → リクエスト スマグリング(v4.1.132 / v4.2.10) | 7.5 |
| CVE-2026-32241 | Flannel(K8s) | Extension バックエンド の コマンド インジェクション(v0.28.2 で 修正) | 7.5 |
| CVE-2026-25075 | strongSwan | EAP-TTLS AVP パーサー の 整数 アンダーフロー → DoS(v6.0.5 で 修正) | 7.5 |
| CVE-2026-22743 | Spring AI | Neo4j VectorStore の Cypher インジェクション | 7.5 |
| CVE-2025-54236 | Adobe Commerce | 不正 入力 検証 に よる セッション 乗っ取り(CISA KEV) | 9.1 |
エコシステム 別 サマリー
npm
OSV から npm エコシステム の 脆弱性 が 1件 報告 されました。
- Astro (CVE-2026-33769) —
remotePatternsの パス 照合 で ワイルドカード/*が アンカー されて おらず、許可 プレフィックス を パス 内 の 任意 の 位置 に 含む URL で バイパス 可能。v5.18.1 で 修正。CVSS v3 ベクトル 上 は 機密性 Low の 影響。
NVD 経由 では npm パッケージ に 影響 する 脆弱性 が 多数 報告 されて います。前述 の Handlebars.js(6件)、node-forge(4件) の ほか、Happy DOM(2件: RCE + Cookie 漏洩)、express-xss-sanitizer(設定 無視 に よる XSS)、textract / thumbler(OS コマンド インジェクション)など が 含まれます。
JVN 日本語 情報
MyJVN から 3件(High 2件、Medium 1件)が 報告 されました。
JVNDB-2026-000046 — バッファロー 製 Wi-Fi ルータ の 複数 脆弱性
- CVSS スコア: 8.8(High)
- CVE: CVE-2026-33366 ほか 5件
- 影響: バッファロー 複数 Wi-Fi ルータ 製品
OS コマンド インジェクション、コード インジェクション、認証 バイパス など 6件 の 脆弱性 が 報告 されて います。mini_httpd の 古い 脆弱性(CVE-2015-1548)に 起因 する 問題 も 含まれます。ファームウェア の アップデート を 確認 してください。
- 参考: JVN
JVNDB-2026-000047 — baserCMS の 複数 脆弱性
- CVSS スコア: 8.1(High)
- CVE: CVE-2026-32734 ほか 3件
- 影響: baserCMS
クロスサイト スクリプティング 2件、OS コマンド インジェクション 1件、SQL インジェクション 1件 の 計 4件。baserCMS を 利用 して いる 場合 は アップデート を 推奨 します。
- 参考: JVN
JVNDB-2026-000045 — WordPress 用 プラグイン OpenStreetMap の XSS
- CVSS スコア: 5.4(Medium)
- CVE: CVE-2026-33559
- 影響: WordPress 用 プラグイン OpenStreetMap
MiKa が 提供 する OpenStreetMap プラグイン に クロスサイト スクリプティング の 脆弱性。プラグイン の アップデート を 確認 してください。
- 参考: JVN
まとめ
本日 は Critical 24件 を 含む 223件 の 脆弱性 情報 を 確認 しました。最 注目 は Handlebars.js の 6件(RCE 含む)と node-forge の 4件(署名 偽造 含む)です。いずれ も npm エコシステム で 非常 に 広く 利用 されて いる パッケージ の ため、影響 範囲 が 大きい です。Handlebars.js は v4.7.9、node-forge は v1.4.0 へ の アップデート を 推奨 します。
また、AI コーディング ツール に コマンド インジェクション が 相次いで おり、LLM に よる コマンド 自動 実行 の セキュリティ モデル が 問われて います。ツール の 自動 承認 設定 を 見直し、コマンド 実行 時 の 確認 フロー を 強化 する こと を 推奨 します。F5 BIG-IP APM(CVE-2025-53521)は CISA KEV に 登録 済み の ため、利用 環境 では 最優先 で 対応 してください。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。